StopCovid — attention aux risques liés à la technologie Bluetooth.

Il est envisagé un système StopCovid pour la sortie du confinement comme l’a indiqué le président de la République dans son allocution du 13 avril. Ce système va détecter, si nous avons croisé à plus de 10 mètres (longueur de portée du Bluetooth pour l’exemple c’est la taille d’un bus donc la distance entre le chauffeur et la personne à l’arrière de celui-ci) une personne malade.

Cette plateforme doit nous inciter à aller nous confiner ou nous faire dépister ou redépister si nous avons été en contact avec une personne malade. Dans une période où il y a une pénurie de tests de détection de la maladie, je pense que le système va accroître le risque de pénurie dans le temps. Je trouve que le dispositif va être plus anxiogène pour les personnes hypocondriaques que salutaire pour la population. Quelle réaction aurez-vous lorsque vous recevrez un message tous les jours indiquant que vous avez croisé quelqu’un porteur du coronavirus ? Pour l’heure, je n’ai toujours pas compris la pertinence du dispositif contre la lutte de la propagation du virus, mais cette solution doit encore être débattue au parlement avant d’être adoptée afin de s’assurer de sa pertinence, de sa robustesse en termes de protection des données personnelles et aux cyberattaques.

Et pour l’heure, la solution proposée interpelle le RSSI que je suis.

Donc mettons de côté la question de la pertinence de la solution, et intéressons-nous aux risques de sécurité inhérents à sa mise en place. En effet les journalistes et les ministres parlent d’une solution sécurisée ayant fait l’objet d’une réflexion « security by design ». L’article d’Alessandro Fiorentino nous explique comment ce dispositif peut être développé en pensant à la privacy by design, en protégeant l’anonymat des utilisateurs. Mais les réflexions de sécurité ne doivent pas se limiter à la solution, mais intégrer aussi son contexte d’utilisation.

Le point sur lequel j’aimerais attirer votre attention est le suivant : quel est l’impact d’une solution qui demanderait à ce que les téléphones activent en permanence le dispositif Bluetooth de nos mobiles ? Car je rappelle que le Bluetooth est également l’une des principales failles de sécurité par lesquelles les pirates peuvent accéder à nos téléphones. En 2004, le virus Cabir avait d’ailleurs été développé pour démontrer la capacité d’infecter des téléphones mobiles grâce à la technologie Bluetooth et d’alerter les constructeurs sur les problèmes de sécurité.

Le Bluetooth permet de connecter deux appareils équipés de cette technologie, afin d’échanger des informations et d’interagir. Ce protocole dispose de mécanisme de sécurité. Normalement tout se fait en transparence. Le propriétaire de l’appareil cible est non seulement averti que quelqu’un cherche à s’appairer avec son appareil. Il doit alors transmettre un mot de passe autorisant la mise en relation des deux dispositifs. Ensuite, lorsque les appareils sont synchronisés les deux appareils connectés s’appuient sur des algorithmes propres à la communication pour éviter un piratage par écoute de l’échange.

Comprendre le risque :

Malgré la mise en place de ces mesures de sécurité théorique, la plupart des gens ne configurent pas leurs appareils et laissent des réglages par défaut sans mot de passe. Il existe alors plusieurs attaques au travers du protocole Bluetooth des appareils téléphoniques. Dans cet article, je mets de côté toutes les attaques sur les objets connectés en Bluetooth car ces appareils n’ont pas le plus souvent de clavier pour changer les mots de passe et donc utilise au mieux des codes fixés par défaut du genre 0000!

Le bluesnarfing ou le bluebugging permettent aux pirates d’accéder à distance aux données des périphériques Bluetooth, telles que le calendrier, la liste de contacts, les emails et même les SMS de l’utilisateur voire d’exécuter des fonctionnalités (transférer des appels, émettre des appels, envoyer des SMS). Cette attaque est possible lorsque le mode Bluetooth est activé sur l’appareil grâce à des logiciels spécifiques (Bluelog, Bluemahoto, RedFang, Blueprint, Bluesniff, BTsanner, BetterCap, Bluesnarffer, etc.) qui vont trouver l’adresse unique attribuée à la machine au moment de sa fabrication pour pouvoir entrer en contact avec elle. Ces adresses sont codées sur six octets, mais leur algorithme de création permet d’en simplifier l’identification avec du temps. Une fois l’identité de l’appareil identifiée, on obtient le profil Bluetooth de l’appareil pour découvrir ainsi le type de service que peut fournir la machine ciblée (connexion Internet, transfert de fichiers, import/export de contacts…). Sur la base des informations, on peut alors tenter d’interroger les services pour pirater les informations souhaitées, en l’absence de mot de passe. En revanche, si un code protège l’entrée du Bluetooth de votre appareil, vous pourrez vous prémunir de tous les Scriptkiddies de votre entourage ou qui passent à côté de vous.

En Novembre 2019, la société allemande ERNW mettait en avant une faille de sécurité référencée CVE-2020–0022. Cette faille, permet comme indiqué précédemment, à un pirate à proximité de se connecter à un smartphone et d’en extraire des données personnelles, voire installer des malware, sans que la victime n’ait à confirmer quoi que ce soit sur son écran. En février 2020, Google proposait un patch de sécurité à passer sur ses OS pour se prémunir de son exploitation. Les versions Android Oreo 8 et 8.1 ainsi qu’Android Pie 9.0 sont concernées par ce problème.

Que faire pour se protéger :

La seule réelle recommandation des experts pour se prémunir d’une attaque en Bluetooth et d’empêcher les pirates d’exploiter les failles du protocole est d’éteindre la fonction Bluetooth de votre téléphone lorsque vous ne l’utilisez pas ! Donc l’utilisation de cette application StopCovid qui nécessitera d’avoir le Bluetooth activé en permanence augmente le risque d’un piratage par Bluetooth de vos appareils téléphoniques. Alors si malgré tout, vous envisagez d’être volontaire pour ce dispositif, je vous engage à prendre à minima les mesures de sécurité suivantes pour protéger votre portable.

1. Mettre à jour le système d’exploitation de votre téléphone.

2. Mettre un mot de passe fiable pour la connexion Bluetooth de votre appareil (partage de connexion).

3. Bloquer les applications souhaitant un accès Bluetooth en vous rendant dans les paramétrages de votre téléphone (et bloquer le partage Bluetooth des applications qui ne devraient pas y avoir accès)

4. Rejeter toute sollicitation inattendue de votre portable

Si votre téléphone ne possède pas le patch associé à la correction de la vulnérabilité CV2–2020–0022 en date de février 2020 je vous recommande de ne pas installer l’application StopCovid pour l’instant. Aux instances en charge de ce projet qui lirait cet article, le consultant que je suis conseillerait de prendre contact avec les fabricants de portables pour que ceux-ci assurent que la faille a bien été prise en compte dans leur patch et que lors de l’installation du logiciel StopCovid une vérification de la présence du patch soit effectuée comme prérequis à l’installation de l’application mobile.

demain

Demain, le blog d’Infhotep.

Medium is an open platform where 170 million readers come to find insightful and dynamic thinking. Here, expert and undiscovered voices alike dive into the heart of any topic and bring new ideas to the surface. Learn more

Follow the writers, publications, and topics that matter to you, and you’ll see them on your homepage and in your inbox. Explore

If you have a story to tell, knowledge to share, or a perspective to offer — welcome home. It’s easy and free to post your thinking on any topic. Write on Medium

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store